Financial-grade API (FAPI) 1.0 Advanced

El Financial-grade API (FAPI) 1.0 Advanced Profile es una especificación de seguridad publicada por el FAPI Working Group de la OpenID Foundation. Define un perfil de OAuth 2.0 de alta seguridad diseñado para proteger API de grado financiero contra vectores de ataque comunes, incluyendo inyección de códigos de autorización, reproducción de tokens y ataques de intermediario (man-in-the-middle).

FAPI Advanced se construye sobre el perfil FAPI 1.0 Baseline, agregando requisitos para objetos de solicitud firmados (JAR), tokens con prueba de posesión, TLS mutuo o DPoP para tokens de acceso vinculados al emisor, y JARM (JWT-Secured Authorisation Response Mode). Estas medidas de seguridad garantizan que el acceso a las API esté protegido incluso en condiciones de red adversas.

El perfil ha sido adoptado como la base de seguridad para estándares de banca abierta a nivel mundial, incluyendo el UK Open Banking Standard, el CDR Information Security Profile de Australia, el perfil de seguridad de Open Finance Brasil y el Open Banking Framework de Arabia Saudita. También se referencia en la guía de seguridad del Berlin Group.

FAPI 2.0, la próxima generación de la especificación, simplifica aún más el modelo de seguridad manteniendo el mismo nivel de protección. Se espera que reemplace a FAPI 1.0 en nuevas implementaciones en los próximos años.